先说结论:如果要跨域发送Cookie,Access-Control-Allow-Origin就不能设为星号

config.setAllowCredentials(true)

config.addAllowedOrigin("*")

config.addAllowedOrigin("*")-----换成-->config.addAllowedOriginPattern("*")

或者你不需要跨域发送Cookie,可以改为false。

原因:

1.首先理解Cookie。百度解释就够了 百度搜索Cookie

   Cookie作用就是保存用户信息在本地,用户每次访问站点时,Web应用程序都可以读取 Cookie 包含的信息。当用户再次访问这个站点时,浏览器就会在本地硬盘上查找与该 URL 相关联Cookie。如果该 Cookie 存在,浏览器就将它添加到request headerCookie字段中,与http请求一起发送到该站点。

Cookie遵循同源策略,它的组成中

domain 和 path 这两个选项共同决定了Cookie能被哪些页面共享

        (3)Path属性:定义了Web站点上可以访问该Cookie的目录

        (4)Domain属性:指定了可以访问该 Cookie 的 Web 站点或域

简单来说就是,我们网页登录了腾讯视频,关闭后,一段时间内都不用重新登录,但是你不能说你现在要看爱奇艺了也不用登录,哪怕是同样的账号密码,怎么区分的呢,因为你进爱奇艺时是读取不到 Domain和Path是腾讯视频的Cookie信息的。

所以这个地址是保证Cookie使用和安全很重要的凭证。因此Cookie默认是不能跨域的。

2.理解跨域请求。可以看这篇文章跨域资源共享 CORS 详解 - 阮一峰的网络日志 

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

但是我们就是要跨域发送Cookie,那他就规定了,你要跨域发送Cookie,allowedOrigins就不能设为星号,而allowedOriginPatterns没有这个validate验证。

spring-web5.3.1 CorsConfiguration源码。 老一些的版本没有这个报错。

    @Nullable
    public String checkOrigin(@Nullable String origin) {
        if (!StringUtils.hasText(origin)) {
            return null;
        } else {
            String originToCheck = this.trimTrailingSlash(origin);
            Iterator var3;
            if (!ObjectUtils.isEmpty(this.allowedOrigins)) {
                if (this.allowedOrigins.contains("*")) {
                    this.validateAllowCredentials();
                    return "*";
                }

                var3 = this.allowedOrigins.iterator();

                while(var3.hasNext()) {
                    String allowedOrigin = (String)var3.next();
                    if (originToCheck.equalsIgnoreCase(allowedOrigin)) {
                        return origin;
                    }
                }
            }

            if (!ObjectUtils.isEmpty(this.allowedOriginPatterns)) {
                var3 = this.allowedOriginPatterns.iterator();

                while(var3.hasNext()) {
                    CorsConfiguration.OriginPattern p = (CorsConfiguration.OriginPattern)var3.next();
                    if (p.getDeclaredPattern().equals("*") || p.getPattern().matcher(originToCheck).matches()) {
                        return origin;
                    }
                }
            }

            return null;
        }
    }
    public void validateAllowCredentials() {
        if (this.allowCredentials == Boolean.TRUE && this.allowedOrigins != null && this.allowedOrigins.contains("*")) {
            throw new IllegalArgumentException("When allowCredentials is true, allowedOrigins cannot contain the special value \"*\" since that cannot be set on the \"Access-Control-Allow-Origin\" response header. To allow credentials to a set of origins, list them explicitly or consider using \"allowedOriginPatterns\" instead.");
        }
    }
# 网络协议 # 网络
Logo
魔乐社区

魔乐社区(Modelers.cn) 是一个中立、公益的人工智能社区,提供人工智能工具、模型、数据的托管、展示与应用协同服务,为人工智能开发及爱好者搭建开放的学习交流平台。社区通过理事会方式运作,由全产业链共同建设、共同运营、共同享有,推动国产AI生态繁荣发展。

更多推荐

cover

【计算机视觉】Pixel逐像素分类&Mask掩码分类理解摘要

avatar 魔乐社区

计算机视觉(opencv)实战三十二——CascadeClassifier 人脸微笑检测(摄像头)

本文从原理到实现,详细介绍了基于 OpenCV Haar 分类器的人脸与微笑检测:讲解了 Haar 特征和级联检测原理。对代码逐行拆解并解释参数含义。画出完整流程图,帮助理解执行过程。给出了常见问题和优化建议,甚至扩展到深度学习方法。这种方法简单、轻量、实时性好,非常适合入门和小型应用项目。但如果需要更高准确率和更强鲁棒性,建议使用深度学习检测器替代 Haar 分类器。

avatar 魔乐社区
cover

小杰机器学习(seven)——贝叶斯分类

avatar 魔乐社区